Exploitarium: Araştırmacı, 30'dan Fazla Açıklanmamış Sıfırıncı Gün Açığını Yayınladı Siber Güvenlik

Exploitarium: Araştırmacı, 30'dan Fazla Açıklanmamış Sıfırıncı Gün Açığını Yayınladı

Anonim bir güvenlik araştırmacısı, GitHub'da yayınladığı Exploitarium deposuyla 30'dan fazla sıfırıncı gün açığını, geliştiricilere bildirmeden kamuya...

"bikini" ve "ashdfrkl" takma adlarını kullanan anonim bir güvenlik araştırmacısı, GitHub'da Exploitarium adlı bir depoda 30'dan fazla sıfırıncı gün (zero-day) güvenlik açığı için proof-of-concept (POC) istismar kodu yayınladı. Araştırmacı, bu açıkları bulmak için yapay zeka destekli fuzzing sürecini kullandığını, özellikle OpenAI modelleri ve araçlarından yararlandığını belirtti. İlk olarak 27 Haziran'da yayınlanan depoda yaklaşık 15 istismar yer alırken, sonraki günlerde bu sayı 30'u aştı. Etkilenen projeler arasında Linux çekirdeği, Libssh2, FFmpeg, Gogs, Gitea, Ghidra, 7-Zip, MyBB, PHP, OpenVPN, VLC oynatıcı gibi popüler açık kaynak yazılımlar bulunuyor.

Bu istismar dökümünün siber güvenlik topluluğunda tartışma yaratmasının ana nedeni, koordineli güvenlik açığı ifşası (CVD) sürecinin atlanmış olması. CVD, geliştiricilere özel olarak bildirimde bulunup onlara yama hazırlamaları için zaman tanımayı öngören endüstri standardı bir uygulamadır. Araştırmacı ise doğrudan kamuya açıklamayı tercih etti. Infosecurity'e Discord üzerinden yaptığı açıklamada, bu yaklaşımın insanları siber güvenlik alanına çekmek için en iyi yol olduğunu savundu: "İnsanların öğrenmesi ve alana ilgi duyması için en iyi yol bu. Günümüz güvenlik standartlarına uymayan bir yazıyı okumak çok daha az ilgi çekici ve bilgilendirici."

Bazı açıkların daha sonra resmi olarak kamuya ifşa edildiği ve bir kısmının geliştiriciler tarafından yamalandığı belirtildi. Bunlardan en dikkat çekeni, CVE-2026-55200 koduyla tanımlanan, libssh2 kütüphanesindeki kritik bir uzaktan kod yürütme (RCE) açığı. CVSS puanı 9.2 olan bu açık, özel hazırlanmış SSH paketleriyle heap belleğini manipüle ederek kod yürütmeye izin veriyor. Güvenlik analisti Ethan Andrews, bu açığın "bağımsız olarak doğrulandığını" ve aktif olarak istismar edildiğini belirtti. Ayrıca, Exploitarium deposunda toplam 12 açığa CVE numarası verildiği görülüyor.

Koordineli ifşayı atlayan bu yaklaşım, güvenlik camiasında farklı tepkilere yol açtı. VulnCheck'ten Patrick Garrity, koordineli yaklaşımı şiddetle tavsiye ettiklerini belirtirken, Ethan Andrews bu yöntemin "anlamlı derecede farklı bir niyet" gösterdiğini ancak riskli olduğunu ifade etti. Andrews, ayrıca tespit için 44 adet KQL kuralı oluşturduğunu ve bunları Detections.ai ile GitHub'da paylaştığını söyledi. Bununla birlikte, araştırmacının ortaya çıkardığı bazı açıkların topluluk tarafından "düşük etkili gürültü" olarak değerlendirildiği de aktarıldı.

Paylaş: